Sidste uge, google-udviklere der har ansvaret for Google Chrome-webbrowserprojektet besluttede at deaktivere separat mærkning af EV-niveau certifikater (Udvidet validering) i Google Chrome.
Si tidligere for websteder med lignende certifikater blev det bekræftede firmanavn vist af certificeringscentret i adresselinjen, nu for disse websteder vises den samme sikre forbindelsesindikator end for certifikater med verifikation af domæneadgang. Og det er, at fra den næste version af Google Chrome 77, vil oplysningerne om brugen af EV-certifikater kun blive vist i rullemenuen, der vises, når du klikker på ikonet for sikker forbindelse.
Med dette skridt som en reference sidste år (i 2018) tog folkene hos Apple en lignende beslutning for Safari-browseren og rullede den ud i iOS 12 og macOS 10.14.
Hvorfor vises de enheder, der udsteder certifikaterne ikke længere i browserlinjen?
Dette træk fra Google-udviklere stammer fra en undersøgelse foretaget af Google, hvor det blev vist, at indikatoren blev brugt tidligere for EV-certifikater gav den ikke den forventede beskyttelse til brugere, der ikke var opmærksomme på forskellen og ikke brugte den, når de traf beslutninger om indtastning af følsomme data på websteder.
Permanence i Google-undersøgelsen Det blev konstateret, at 85% af brugerne ikke blev forhindret i at komme ind med tilstedeværelsesoplysningerne i adresselinjen URL «accounts.google.com.amp.tinyurl.com" i stedet for "accounts.google.com«, Hvis det vises på den typiske grænsefladeside på Google-webstedet.
Gennem vores egen forskning samt en undersøgelse af tidligere akademisk arbejde har Chrome Security UX-teamet fastslået, at EV UI ikke beskytter brugerne som beregnet.
Brugere ser ikke ud til at træffe sikre beslutninger (som f.eks. Ikke at indtaste adgangskode eller kreditkortoplysninger), når brugergrænsefladen ændres eller fjernes, da EV-brugergrænsefladen skal give betydelig beskyttelse.
Derudover optager EV-badgen værdifuld skærm-ejendom, kan indeholde aktivt vildledende virksomhedsnavne i en fremtrædende brugergrænseflade og forstyrrer Chromes produktstyring mod en neutral, snarere end positiv, skærm for sikre forbindelser.
På grund af disse problemer og dets begrænsede anvendelighed synes vi, det hører bedst til informationen på siden.
Ændringen af EV-brugergrænsefladen er en del af en bredere tendens blandt browsere til at forbedre deres sikkerhedsbrugergrænsefladeoverflader i lyset af de seneste fremskridt med at forstå dette problematiske rum.
For at vække tillid til webstedet for de fleste brugere viste det sig at være nok bare for at gøre siden lig den originale.
Som et resultat det blev konkluderet, at positive sikkerhedsindikatorer ikke er effektive, og det er værd at fokusere på at organisere output af eksplicitte advarsler om problemerne.
For eksempel er en lignende ordning for nylig blevet anvendt på HTTP-forbindelser, der udtrykkeligt er markeret som usikre.
På samme tid oplysningerne, der vises for EV-certifikater, tager for meget plads i adresselinjen, det kan føre til yderligere forvirring, når virksomhedsnavnet vises i browsergrænsefladen, og det overtræder også princippet om produktneutralitet og bruges til spoofing.
For eksempel udstedte Symantec Certification Authority et Identity Verified EV-certifikat, hvis navn viste vildledte brugere, især når det virkelige navn på det åbne domæne ikke passede i adresselinjen.
kilde: https://blog.chromium.org